Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Sanctum & Guzzle Method Not Allowed

MehmetMAL

Merhabalar web (Frondend) api(backend servisleri) olarak ayırdıgım bir projem var web kısmı servis sınıflarıyla aynı projedeki apiler ile konusuyor

Projede Guzzle kullanıyorum ..Sanctum ile entegre ederken middleware içinde yer alan routea web tarafından ulaşmaya çalışırken method not allowed hatası alıyorum ..POSTMANDEN direkt apiye ulaşmak istersem sorun olmuyor

kodlarım ise su sekilde

BaseApiService.php (Bütün APİ ler için wrapper )

 $token = \auth()->user()->tokens()->where('name','auth-token')->first()->token;
            $client = new Client();
            $response=$client->request('GET', env('APP_URL') .$baseUrl. $endpoint,[
                [
                'headers' =>
                    [
                        'Authorization' => "Bearer {$token}"
                    ]
                ]
            ])->getBody()->getContents();

api.php içerisinde sanctum ve korumak istediğim route içerisi

Route::group(['middleware'=>['auth:sanctum'],],function (){
    Route::resource('category', CategoryController::class); //Burada olan routeları dısarı aldıgımda bir sorun olmuyor 

});

Aldıgım hata ise Get method not allowed (sadece web kısmından istek gelirse bu hata oluyor )

->Denediklerim

SSL ENABLE/DİSABLE
Route methodunu post yapmak
Post olarak istek atmak

Yardımcı olabilirseniz sevinirim tesekkürler şimdiden 🙂

mgsmus

MehmetMAL

Guzzle ile istek attığınız adres doğru mu kontrol edin.
headers içerisine 'Accept' => 'application/json' ekleyin.
env() yöntemi sadece config dosyalarında kullanılır, config('app.url') kullanmalısınız.
Laravel 7+ kullanıyorsanız Http Client kullanın: https://laravel.com/docs/8.x/http-client

MehmetMAL

Hocam tekrardan merhabalar cok tesekkür ederim ayrıca bilgilendirmeniz icin ..

Yaptıklarım Http Client Kullandım
application json ekledim sorun duzeldi lakin şimdi soyle bir problem oldu

webde giriş yaptıktan sonra token bilgisini soyle alıyorum

            $token = \auth()->user()->tokens()->where('name','auth-token')->orderByDesc('created_at')->first()->token;
            dd($token);//

            return Http::withToken($token)->withHeaders([
                'Accept' => 'application/json'
            ])->get(config('app.url') .$baseUrl. $endpoint)->body();

Sorun su Tokenı postmanden alıp string olarak yolladıgımda veri geliyor ama $token değişkeni olarak aldıgımda ise unautrazed hatası alıyorum dogru sekilde nasıl alabilirim dogru tokenı ?
Token su sekilde olusmakta hocam

            
            ```
              $user = User::where('email',$request->email)->first();
   $authToken = $user->createToken('auth-token')->plainTextToken;
   ```
   
   İkinci sorum için özür dilerim şimdiden tesekkürler :)

mgsmus

MehmetMAL Şimdi dikkatli bakınca farkettim, neden kendi kendinize Http isteği attığınızı anlamadım. 2 farklı Laravel uygulaması mı var?

MehmetMAL

mgsmus hocam soyle web tarafı ve api tarafı laravel ama api tarafı mbl uygulama ve farklı platformlar için ileride hizmet verecek .. api tarafı aynı zamanda uygulamayı da besliyor ..

mizraklar

Merhaba.
Bu tür işlemlerde Laravel passport kullanılması daha basit ve sağlıklı.
Sanctum kullanmanız şart değilse bunu tavsiye ederim.

mgsmus

mizraklar Kesinlikle değil. Sanctum ile Passport arasındaki tek benzerlik Personal Access Token (PAT). Passport OAuth protokolü için kullandığımız paket. İçerisinde PAT özelliği de olduğu için OAuth özellikleri kullanılmadan da bir token oluşturarak token auth sağlanabiliyor ama bu durumda buz dağının sadece görünen ucunu kullanmış oluyorsunuz.

Sanctum ise Passport'un aksine sadece düz token auth üzerine kurulu ve herhangi bir protokolü desteklemiyor ama Passport'de olmayan çok önemli bir özelliği var. O da, eğer backend ve frontend aynı domain altında çalışıyorsa session cookie kullanarak klasik auth kullanırmış gibi token auth kullanabilmenizi sağlıyor. Axios'da withCredentials:true yaptığınızda ilk başarılı login ile oluşan token cookie içerisinde istemciye gönderiliyor ve axios bunu her isteğe ekleyerek sunucuya geri iletiyor, gerisini Sanctum hallediyor. Aynı rotaya bearer token gönderirseniz o da aynı şekilde çalışıyor. Önce cookie sonra bearer kontrolü yapılıyor. Bu sayede mobil uygulama ya da farklı domaindeki bir uygulama da bearer kullanarak aynı rotalara token auth ile erişebiliyor. Bir taşla iki kuş.

O yüzden sadece OAuth kullanacaksanız Passport kullanacaksınız, onun dışında tüm token auth ihtiyaçlarınız için Sanctum yeterli. Sadece PAT özelliği lazım diye Passport kullanmak gereksiz ama yine de tercih sizin.

https://laravel.gen.tr/d/5849-laravel-sanctum-vs-passport/2

mizraklar

mgsmus merhaba.
Hocam aynen katılıyorum. Sadece pasaport kullanımı basit olduğu için önerdim. Ama extra fazladan kod yazmayı seven tabiki kullanabilir.
Benim mantığım az kod çok iş ve az kod ile max. Güvenlik. Bende bir sistemi 15 farklı domain üzerinden ve bir o kadar mobile uygulama üzerinden kullanıyorum. Bu sayede bir kullanıcı bu sistemlerin tümünde gezebiliyor. Burada sadece route katında ufak bir işlem ile kullanıcının mail ve şifre ile login olmasını sağlıyorum. Pat. İçin gereken login parametre ve gizli kalması gereken tokenlarin frontend ve mobile uygulama tarafında saklanmasının önüne geçtim. Giriş yaparken sadece mail ve şifre gönderiyor ilgili bearer tokeni alıyor.

EgoistDeveloper

mizraklar

Pat. İçin gereken login parametre ve gizli kalması gereken tokenlarin frontend ve mobile uygulama tarafında saklanmasının önüne geçtim. Giriş yaparken sadece mail ve şifre gönderiyor ilgili bearer tokeni alıyor.

Kastedilen şeyi anlamakta güçlük çektiğim için soruyorum.

Token saklanmıyorsa bearer token nereden saklanıyor? Bu ikisi farklı bir kavram mı?

mizraklar

EgoistDeveloper
Merhaba
Access token üretmek için secret token var.
Bu olmazsa sisteme sızma olmaz.